第12章 安全设备规.ppt

第12章 安全设备规划与配置 本章内容 12.1 安全设备规划与配置 13.1.1 案例情景 13.1.2 项目需求 13.1.3 解决方案 12.2 网络安全设计 12.2.1 网络防火墙设计 12.2.2 入侵检测系统设计 12.2.3 入侵防御系统设计 12.2.4 综合安全设计 12.2.1 网络防火墙设计 内部网络与Internet的连接之间 连接局域网和广域网 内部网络不同部门之间的连接 用户与中心服务器之间的连接 内部网络与Internet的连接之间 连接局域网和广域网 连接局域网和广域网 内部网络不同部门之间的连接 用户与中心服务器之间的连接 12.2.2 入侵检测系统设计 IDS位置 IDS与防火墙联动 IDS位置 IDS在交换式网络中一般选择如下位置： 尽可能靠近攻击源； 尽可能靠近受保护资源。 IDS与防火墙联动 IDS与防火墙联动 IDS与防火墙联动 12.2.3 入侵防御系统设计 路由防护 交换防护 多链路防护 混合防护 路由防护 交换防护 多链路防护 混合防护 12.2.4 综合安全设计 知识链接 网络防火墙——Cisco PIX和ASA IDS与IPS比较 12.3 配置安全设备 12.3.1 Cisco ASA连接策略 12.3.2 Cisco ASDM初始化 12.3.3 网络设备集成化管理 12.3.4 安全策略设置 12.3.5 配置DMZ 12.3.6 管理安全设备 12.3.1 Cisco ASA连接策略 12.3.1 Cisco ASA连接策略 12.3.1 Cisco ASA连接策略 12.3.1 Cisco ASA连接策略 12.3.1 Cisco ASA连接策略 12.3.1 Cisco ASA连接策略 12.3.2 Cisco ASDM初始化 安装前的准备 第1步，获得一个DES许可证或3DES-AES许可证。 第2步，在Web浏览器启用Java and Javascript。 第3步，搜集下列信息：? 12.3.3 网络设备集成化管理 12.3.4 安全策略设置 12.3.5 配置DMZ 运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务 12.3.5 配置DMZ Web服务器连接至安全设备的DMZ接口。 HTTP客户端位于私有网络，可以访问位于DMZ中的Web服务器，并且可以访问Internet中的设备。 运行ASDM 运行ASDM 为NAT创建IP地址池 为外部端口指定IP地址池 配置内部客户端访问DMZ区的Web服务器 配置内部客户端访问Internet 为Web服务器配置外部ID 允许Internet用户访问DMZ的Web服务 12.3.6 管理安全设备 监视安全设备运行状态 查看和分析网络流量 查看和分析系统日志 安全监控工具 监视安全设备运行状态 查看和分析网络流量 查看和分析系统日志 安全监控工具 习题 实验：设计安全企业网络 对于Cisco AIP-SSM的全面管理服务 虚拟化安全服务的世界级管理 在安全策略设置上，通常包括以下几种设置： 内到外全部允许，外到内全部拒绝。 内到外和外到内都要做ACL控制、映射、NAT。 设置IPSec、L2TP、SSL VPN。 Internet中的HTTP客户端允许访问DMZ区的Web服务器，除此之外的其他所有的通信都被禁止。 网络有2个可路由的IP地址可以被公开访问：安全设备外部端口的IP地址为25，DMZ中Web服务器的公开IP地址为26。 借助NAT规则，可以实现内部客户端对DMZ区中Web服务器的访问。当然，借助NAT规则也应当能够实现内部客户端对Internet的访问。不过，管理员无需再创建任何规则，因为IP地址池包括了2种需要转换的地址，即DMZ接口使用的IP地址，和外部接口使用的IP地址。 * * 主讲人 刘晓辉 3 1 安全设备规划与配置 3 2 3 3 网络安全设计 配置安全设备 网关安全——网络防火墙 局部安全——IDS 全网安全防护——IPS DMZ区域 外部区域 内部区域 DMZ区 内部网络 外部网络 存在边界路由器网络连接： 无边界路由器的网络连接： DMZ区 内部网络 外部网络 被保护网络 每台服务器单独配置独立的防火墙 配置虚拟网络防火墙 根据实施方式的不同分类： 核心交换机 防火墙模块 这些位置通常在如下位置： 服务器区域的交换机上； Internet接